安帝速递|【工业网络安全月报2023年-10月】
时间:2023-11-02 作者:安帝科技
一、政策扫描
本月观察到国内外网络安全相关政策法规25项,涉及国内2项、美国20项、新加坡1项、英国2项,值得关注的有NSA-CISA报告提供IAM指导,解决威胁关键基础设施、国家安全系统的风险。
1、国家网信办《规范和促进数据跨境流动规定》公开征求意见
9月28日,为保障国家数据安全,保护个人信息权益,进一步规范和促进数据依法有序自由流动,依据有关法律,我办起草了《规范和促进数据跨境流动规定(征求意见稿)》,现向社会公开征求意见。
资料来源:http://www.cac.gov.cn/2023-09/28/c_1697558914242877.htm
2、NSA-CISA报告提供IAM指导,解决威胁关键基础设施、国家安全系统的风险
10月4日,美国国家安全局(NSA)与网络安全和基础设施安全局(CISA)以及行业合作伙伴合作发布了一份网络安全技术报告(CTR)。NSA-CISA文档为多重身份验证(MFA)和单点登录(SSO)技术的开发人员和供应商提供身份和访问管理(IAM)指南,并提供可操作的建议,以解决其产品中的关键挑战。
资料来源:http://5j6z6.xai8.sbs/Xba6hfU
3、NIST发布800-82r3 OT安全指南最终版本
9月28日,NIST宣布,它已发布最新操作技术(OT)安全指南的最终版本。NIST于2021年4月发布了特别出版物(SP)800-82r3(修订版3)的初稿,一年后发布了第二稿。目前,OT安全指南第三版已经完成。这份长达316页的文件提供了有关提高OT系统安全性的指导,同时满足其独特的安全性、可靠性和性能要求。
资料来源:http://2ais2.xai6.sbs/XMOqWK8
4、美国政府发布OT、ICS领域开源软件安全指南
美国 CISA、FBI、NSA和美国财政部联手为运营技术(OT)中使用开源软件(OSS)制定新的网络安全指南。新文档(PDF)根据CISA于9月发布的开源软件安全路线图而设计,旨在促进对OSS及其在工业控制系统(ICS)和其他OT环境中的实施的理解,并详细说明OSS安全使用实践。
资料来源:http://udbm6.xai8.sbs/90LiFve
5、美国运安局更新铁路网络安全指令
美国运输安全管理局(TSA)宣布更新三项监管客运和货运铁路运输公司的安全指令(SD),以持续努力增强地面运输系统和相关基础设施的网络安全。这三项指令要求TSA指定的客运和货运铁路承运商采取行动,采用灵活的、基于绩效的方法,防止其基础设施中断和退化,并符合TSA对管道运营商的要求。
资料来源:http://qvea5.xai6.sbs/CDkwsXa
6、NSA为在安全框架内使用零信任设备支柱的成熟设备提供建议
10月19日,美国国家安全局(NSA)发布了一份网络安全信息表(CSI),涵盖零信任安全框架,使联邦机构、合作伙伴和组织能够评估其系统中的设备,并更好地应对与关键资源相关的风险。该文档为使用零信任设备支柱的成熟设备提供了建议,以确保寻求访问的设备根据设备元数据赢得信任,并持续检查以确定设备是否满足组织的最低访问标准。
资料来源:http://lhp83.xai8.sbs/S7WI1zs
二、安全事件
本月监测到勒索事件20起、数据泄露事件33起、网络攻击54起,DDOS攻击4起、钓鱼攻击3起、APT攻击3起。其中典型的事件有美国大型建材生产商辛普森遭网络攻击致运营中断,英国电子公司Volex的系统和数据遭到未经授权访问。
1、Kaspersky披露针对俄罗斯工控行业和政府机构的攻击
10月24日,Kaspersky在披露了针对俄罗斯工控行业和政府机构的攻击活动。研究人员于6月首次检测到该活动,而在8月中旬发现了新版本的后门,该后门具有更复杂的绕过功能,表明攻击正在进行优化。攻击始于一个包含恶意ARJ文件的邮件,其中有一个诱饵PDF文档和一个NSIS脚本,该脚本用于获取主要payload并启动它。Kaspersky称,同一钓鱼活动还传播了两个名为Netrunner和Dmcserv的后门,这些是具有不同C2服务器配置的相同恶意软件。
资料来源:http://xklw2.xai6.sbs/63ckecm
2、美国大型建材生产商辛普森遭网络攻击致运营中断
据Bleeping Computer报道,辛普森制造公司遭受网络攻击导致其运营中断。辛普森制造公司是一家美国建筑和结构材料生产商,年净销售额为21.2亿美元(2022年)。该公司表示,10月10日检测到IT问题和应用程序中断,但很快意识到这是由网络攻击引起的。针对这种情况,辛普森关闭了所有受影响的系统,以防止攻击蔓延。
资料来源:http://xppc2.xai6.sbs/NFce1NE
3、英国电子公司Volex的系统和数据遭到未经授权访问
据10月9日报道称,英国电子电气公司豪利士(Volex)遭到网络攻击。调查显示,该事件是由于公司位于全球的多个IT系统和数据遭到未经授权访问导致的。Volex声称攻击者无法访问财务数据,该事件没有造成重大财务影响,但该公司的股价在10月9日上午仍下跌了4%左右。
资料来源:https://www.hackread.com/uk-power-data-manufacturer-volex-cyberattack/
4、日本最大通信运营商九百万条数据被盗,泄露时间长达十年
10月17日,日本最大通信网络运营商NTT WEST两家子公司宣布,一位负责系统维护的前外包临时工非法获取了约900万条用户信息,并将部分信息发给其他公司,其中包括用户姓名、地址、电话号码以及信用卡信息等。两家子公司表示,目前尚无法确认信息泄露造成的损害,警方正对此展开调查。
资料来源:http://q54j5.xai6.sbs/27C9Kd9
5、日本制表巨头精工证实6万条个人数据记录遭到泄露
10月25日,日本制表巨头精工证实,几个月前发现的勒索软件攻击导致约60,000条个人数据记录遭到泄露,泄露的数据不仅包括SWC客户信息,包括姓名、地址、电话号码和电子邮件地址,还包括SGC、SWC和SII业务合作伙伴信息,例如姓名、职务、公司隶属关系和公司联系方式,影响了客户、业务合作伙伴和员工。
资料来源:http://myko6.xai8.sbs/6vhk0pW
6、黑客组织Cyber Av3ngers宣称关闭200个以色列加油站
据伊朗塔斯尼姆通讯社(Tasnim)新闻社10月15日报道,黑客组织CyberAv3ngers声称对以色列著名加油站控制解决方案提供商ORPAK Systems的大规模网络攻击负责。攻击者在他们的Telegram频道上发布了被盗的数据库。据媒体报道,一次网络攻击导致以色列200个汽油泵关闭,进而导致特拉维夫和海法等地多个加油站关闭。CyberAv3ngers还在其Telegram频道上发布了一些加油站闭路电视摄像机的文件和录音。
资料来源:https://www.securitylab.ru/news/542755.php/a>
三、漏洞态势
本月监测到OT漏洞52个,6个命令注入,5个信息泄露,11个缓冲区溢出,1个资源权限不正确,3个XSS,内存访问1个,2个SQL注入,2个输入验证不当,1个授权不确定,1个会话固定,1个路径遍历,3个拒绝服务, 1个文件解析漏洞,1个加密绕过,1个远程代码执行,1个不正确的初始化,1个用户枚举,1个openssl,1个硬编码,1个权限分配不正确,7个权限提升。值得关注的Siemens Ruggedcom设备受到Nozomi组件缺陷的影响。
1、Siemens Ruggedcom设备受到Nozomi组件缺陷的影响
西门子发布了十多个新公告,解决了41个漏洞。一份通报描述了影响西门子Ruggedcom APE1808工业应用托管平台的七个漏洞,该平台专为在恶劣的关键任务环境中运行第三方软件而设计。这些漏洞存在于工业和物联网网络安全公司Nozomi Networks生产的产品中,特别是该公司的Guardian产品(旨在提供资产库存和网络可见性)以及中央管理控制台(CMC),该控制台聚合Guardian传感器数据。这些漏洞可被用来获取信息、执行任意JavaScript代码、劫持用户会话并导致拒绝服务(DoS)情况。
资料来源:http://6tvh2.xai6.sbs/pfPbe7s
2、Citrix修补了关键的NetScaler ADC、网关漏洞
10月10日,Citrix发布了针对影响多个版本的NetScaler应用程序交付控制器(ADC)和NetScaler Gateway的严重漏洞的补丁。这家科技巨头在一份咨询报告中指出,该安全缺陷被追踪为CVE-2023-4966(CVSS评分为9.4),可能导致敏感信息泄露。
资料来源:http://q2pv2.xai6.sbs/KNnNVvV
3、ConnectedIO路由器中的漏洞使黑客能够访问数千家公司
ConnectedIO ER2000路由器和相关云管理平台中发现了多个高严重性漏洞。最严重的安全漏洞可被利用在目标路由器上执行任意shell(CVE-2023-32632)、更改设备的管理员凭据并获取root访问权限(CVE-2023-24479),并利用剩余的调试凭据可使用管理员权限访问设备(CVE-2023-32645)。其余的弱点可被利用来执行任意代码/命令和拒绝服务(DoS)攻击。
资料来源:https://www.securitylab.ru/news/542547.php
4、Milesight工业路由器被爆高危漏洞
据漏洞利用和漏洞情报公司VulnCheck称,影响中国物联网和视频监控产品制造商Milesight制造的一些工业路由器的漏洞可能已在攻击中被利用。Milesight (Ursalink)的多款UR系列工业蜂窝路由器受到CVE-2023-43261的影响,这是一个暴露系统日志文件(例如“httpd.log”)的严重漏洞。
资料来源:http://vizl3.xai8.sbs/5R07bmQ
5、Supermicro BMC漏洞可能使许多服务器遭受远程攻击
服务器和计算机硬件巨头Supermicro发布了更新,以解决基板管理控制器(BMC) IPMI固件中的多个漏洞。发现这些漏洞的固件供应链安全公司Binarly解释说,这些问题(编号为CVE-2023-40284至CVE-2023-40290)可能允许远程攻击者获得BMC系统的root访问权限。
资料来源:http://wytu5.xai6.sbs/KkeSSzN
6、Atlassian修补攻击中利用的关键Confluence零日漏洞
澳大利亚软件公司Atlassian发布了紧急安全更新,以修复其Confluence数据中心和服务器软件中已被利用的最高严重性零日漏洞。这个严重的权限提升缺陷被追踪为CVE-2023-22515,影响Confluence Data Center和Server 8.0.0及更高版本,并且被描述为可在不需要用户交互的低复杂性攻击中远程利用。
资料来源:http://koos3.xai8.sbs/72jaZPm
四、产品方案
连接设备安全公司Ordr已与ServiceNow Vulnerability Response集成,以缩小可见性差距,优化漏洞管理。OT网络安全公司Radiflow宣布与Cyolo建立合作伙伴关系,以提高安全远程访问并进一步检测异常行为。
1、Ordr与ServiceNow漏洞响应集成,以缩小可见性差距,优化漏洞管理
连接设备安全公司Ordr已与ServiceNow Vulnerability Response集成,扩展了Ordr与ServiceNow Service Graph Connector、CMDB(配置管理数据库)和ITSM(IT服务管理)现有的双向集成。此举有助于缩小可视性差距并优化托管和非托管设备的漏洞管理,包括IoT(物联网)、IoMT(医疗物联网)和OT(运营技术)。
资料来源:http://kpke6.xai8.sbs/XCpbiBk
2、Radiflow与Cyolo合作保护OT网络免受未授权访问
10月17日,OT网络安全公司Radiflow宣布与Cyolo建立合作伙伴关系,以提高安全远程访问并进一步检测异常行为。该合作伙伴关系确保对OT/ICS(操作技术/工业控制系统)网络和资产的访问和安全操作得到持续监控和控制,并通过对威胁的快速有效响应得到加强。
资料来源:http://dj6s2.xai6.sbs/wZWwyh7
五、融资并购
一家植根于电子商务移动支付领域的初创公司Prove Identity完成了4000万美元的融资,继续向数字身份验证和认证市场迈进。罗克韦尔自动化将收购ICS/OT安全公司Verve Industrial,旨在为其客户快速评估其资产、确定风险优先级并采取对策来缓解漏洞。
1、Prove Identity获得4000万美元资金用于身份验证技术
10月17日,一家植根于电子商务移动支付领域的初创公司Prove Identity完成了4000万美元的融资,继续向数字身份验证和认证市场迈进。这家总部位于纽约的公司(原名Payfone)表示,最新一轮投资由MassMutual Ventures和Capital One Ventures领投。迄今为止,Prove Identity已筹集超过2.15亿美元,并将自己重新定位为面向银行、零售商和医疗机构的企业供应商。
资料来源:http://gd8a2.xai6.sbs/WsAsVbW
2、罗克韦尔自动化将收购ICS/OT安全公司Verve Industrial
10月23日,工业巨头罗克韦尔自动化宣布,已签署收购Verve Industrial Protection的最终协议,Verve Industrial Protection是一家专门从事工业控制系统(ICS)和运营技术(OT)的网络安全公司。罗克韦尔生命周期服务高级副总裁Matt Fordenwalt表示:“通过收购Verve,我们的客户可以快速评估其资产、确定风险优先级并采取对策来缓解漏洞,所有这些都在一个平台内完成。”
资料来源:http://gkgo6.xai8.sbs/Oht1Dyc